系统安全管理制度

  • 格式:doc
  • 大小:19.00 KB
  • 文档页数:6

第 1 页 共 6 页 系统安全管理制度

系统安全管理制度中国科学院沈阳应用生态研究所

前言

本制度旨在加强中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统安全管理工作。

本制度由信息中心提出。

本制度由信息中心归口。

本制度起草部门:信息中心

本制度主要起草人:岳倩

本制度起草日期:20__/01/19

系统安全管理制度

1范围

本制度规定了沈阳生态所信息系统安全管理权限分配、授权和审批、备份和检查等的要求。

本制度适用于沈阳生态所开展信息系统安全管理工作。

2术语和定义

信息系统:指包括操作系统、应用系统和数据库管理系统。

3职责

3.1系统管理员

1)负责应用系统的安装、维护和系统及数据备份;

2)根据应用系统的安全策略,负责应用系统的用户权限设置以及系统安全

配置;

3)根据应用系统运行的实际情况,制定应急处理预案,提交信息管理部门

审定。

3.2安全管理员

1)负责对应用系统的安装、维护和系统及数据备份的监督检查和登记工作; 第 2 页 共 6 页 2)定期检查应用系统的用户权限设置以及系统安全配置,与应用系统安全

策略的符合性;

3)定期审查应用系统的审计记录,发现安全问题及时报告信息管理部门。4安全策略

旨在加强信息系统的运行管理,提高系统的安全性、可靠性,依照完善的管理制度,科学的管理方法来完成信息系统安全管理权限分配、授权和审批、备份和检查等的要求。

5信息系统管理

5.1操作系统

1)操作系统管理员账户的授权、审批

●操作系统管理员和操作系统安全员账户的授权由所在部门填写

《操作系统账户授权审批表》,经部门领导批准后设置;

●操作系统管理员和操作系统安全员人员变更后,必须及时更改账

户设置。

2)其他账户的授权、审批

●其他账户的授权由使用人填写《操作系统账户授权审批表》,经

信息管理部门领导批准后,由操作系统管理员进行设置;

●操作系统管理员和操作系统安全员根据业务需求和系统安全分

析制订系统的访问控制策略,控制分配信息系统、文件及服务的访问权限;

●外单位人员需要使用审计管理系统时, 须经信息管理部门领导

同意, 填写《外单位人员操作系统账户授权审批表》,报信息管理部门领导批准后, 由操作系统管理员按规定的权限、时限设置专门的用户账户;

●严禁任何人将自己的用户账户提供给外单位人员使用。

3)口令的复杂性、安全性要求和检查

●系统账户的口令长度设置至少为8位,口令必须从小写字符

(a-zA-Z)、大写字符(A-Z)、数字(0-9)、符号(~!@#$^&__)中至少选择两种进行组合设置;

●系统账户的口令须定期更改,每次更新的口令不得与旧的口令相 第 3 页 共 6 页 同,操作系统应设置相应的口令规则;

●系统用户的账号、口令、权限等禁止告知其他人员;

●须根据系统的安全要求对操作系统密码策略进行设置和调整,以

确保口令符合要求。

4)系统维护和应急处理记录

●应对系统安装、设置更改、账号变更、备份等系统维护工作进行

记录,以备查阅;

●应对系统异常和系统故障的时间、现象、应急处理方法及结果作

详细的记录。

5)操作系统的系统管理员账户名称、口令的管理

●操作系统账户应按照《操作系统账户授权审批表》批准的账户名

称、权限和有效期予以设置;必须关闭不必使用的账号;

●操作系统管理员账户的口令除了满足口令要求外,还必须每季度

更改一次,发现有异常情况时应立即更改,每次更新的口令不得

与旧的口令相同;

●严禁把操作系统管理员的账户名称和口令告知其他人员。

6)操作系统配置的备份管理

●操作系统管理员应对操作系统的配置参数及相关文件进行备份,

当配置发生变更时必须重新备份,以便系统发生故障时能尽快恢

复系统配置。

7)操作系统的安全检查

●操作系统管理员应经常检查操作系统的安全配置,并确保符合安

全配置要求;

●系统管理员、网络管理员和审计员应定期查看操作系统的运行日

志和审计日志,以及时发现出现的安全问题(包含并不限于对运

行日志和审计数据进行分析^p ,保存分析^p 报告,详细描述账户的连

续多次登录失败、非工作时间的登录、访问受限系统或文件的失 第 4 页 共 6 页 败尝试、系统错误等非正常事件);

●系统管理员应定期使用最新的安全检查或安全分析^p 工具对系统

进行检查,并及时消除存在的漏洞;

●系统管理员实施漏洞扫描或漏洞修补前,应对可能的风险进行评

估和充分准备,如选择恰当时间,并做好数据备份和回退方案,

漏洞扫描或漏洞修补后应进行验证测试,以保证系统的正常运

行,应保存系统漏洞扫描报告,详细描述系统存在的漏洞、严

重级别和结果处理等方面内容,方可实施系统补丁程序的安装。

5.2应用系统

1)应用系统管理员、安全员账户的授权、审批

●用于业务应用的账户的授权由使用计算机应用系统相关人员负

责填写《应用系统账户授权审批表》,经业务管理部门及信息系

统运行管理部门负责人批准后,由应用系统管理员进行设置;

●外单位人员需要使用沈阳生态所信息系统时,须经相关业务管理

部门主管同意,填写《外单位人员应用系统账户授权审批表》,报信息系统运行管理部门负责人批准后,应用系统管理员按规定

的权限、时限设置专门的用户账号;

●严禁沈阳生态所工作人员将自己的用户账号提供给外单位人员

使用。

2)口令的复杂性、安全性要求和检查

●应用系统管理员账户的口令长度设置至少为8位,口令必须从字

符(a-z,A-Z)、数字(0-9)、符号(~!@#$^&__)中至少选

择两种进行组合设置;

●应用系统管理员账户的口令必须经常更改,至少每半年更改一

次,每次更新的口令不得与旧的口令相同,操作系统应设置相应

的口令规则;

●应用系统管理员用户的账号、口令、权限等禁止告知其他人员;

●用于业务应用的账户的口令长度设置至少为6位,其他要求参照 第 5 页 共 6 页 应用系统管理员账户的口令要求执行。

3)应用系统维护和应急处理记录

●应设置《应用系统维护和应急处理记录》,系统管理员记录系统

的运行情况;

●应对系统异常、系统故障的日期、现象、处理方法及结果等应急

处理进行记录;

●应对应用系统的安装、设置更改、账号变更、组变更、备份等系

统维护工作进行记录,以备查阅;

●应对应用系统异常和系统故障的时间、现象、应急处理方法及结

果作详细的记录。

4)应用系统配置的备份的管理

●系统管理员应对系统的配置参数及相关文件进行备份;

●当配置发生变更时必须重新备份,以便系统故障时能尽快恢复系

统配置。

5)应用系统数据的备份的管理

●备份权限,备份介质都必须加以妥善保管,防止非法访问;

●制定备份策略,以高效备份与恢复为目标,与操作系统备份结合,

物理备份与导出相结合。

5.3数据库系统运行管理

1)数据库管理员账户的授权,审批

●数据库管理员和数据库安全员账户的授权由系统运行维护单位

填写《数据库系统账户授权审批表》,经信息管理部门领导批准

后设置;

●数据库管理员和数据库安全员人员变更后,必须及时更改账户设

置。

2)其他账户的授权,审批

●其他数据库账户的授权由使用单位填写《数据库系统账户授权审

批表》,经信息管理部门领导批准后,由数据库管理员进行设置; 第 6 页 共 6 页 ●外单位人员需要使用×××数据库系统时, 须经部门主管同意,

填写《外单位人员数据库系统账户授权审批表》,报信息管理部

门领导批准后, 由数据库管理员按规定的权限、时限设置专门的

用户账号;

●《外单位人员数据库系统账户授权审批表》应包括使用者姓名、

身份证号、工作单位、接待部门、数据库系统名称和版本、主机

型号、主机号、账户名称、账户类别、授予权限、账号和权限授

予期限等;

●严禁沈阳生态所任何人将自己的用户账号提供给外单位人员使

用。

3)口令的复杂性、安全性要求和检查